Dzisiaj wpis dedykowany właścicielą stron opartych na systemie zarządzania treścią Joomla!. Zgodnie z tematyką strony dzisiaj napiszemy krótko zainspirowani pewną wiadomością e-mail o bezpieczeństwie tego CMS. Jak niektórzy zapewne wiedzą niegdyś Joomla! była ulubionym chyba systemem pseudo hakerów. Mnogość wykrytych luk w przeciągu kilkunastu wersji tego systemu, napisanych exploitów i mniemam, że ilość przeprowadzonych ataków mogła by niejednemu zawrócić w głowię. Myślę że dość tych wstępów. Przedstawiamy 6 wtyczek do systemu Joomla!, które możemy wykorzystać do zabezpieczenia naszych stron www opartych na jomali :-). Więc jeżeli jesteś zainteresowany recaptcha anty-spamowa (kod z obrazka), cyklicznym automatycznym backupem artykułów i bazy danych, ochroną przed atakami XSS, SQL, RFI i ogólnym poprawieniem bezpieczeństwa serwisu bazującego na Joomla! CMS to ten wpis jest dla Ciebie!
Zabezpieczenie strony Joomla!
Akeeba Backup
Akeeba Backup to chyba jedno z podstawowych ogniw obrony białych hakerów. Za pomocą tej wtyczki w prosty sposób za pomocą praktycznie jednego kliknięcia, możemy utworzyć kopię zapasową naszej strony www. Posiada tryb bez nadzoru (uruchamiany cyklicznie za pomocą narzędzia CRON). Kopie zapisuje w postaci archiwum ZIP lub JPA.
Chyba nie muszę przekonywać tych osób, które w przeszłości już straciły jakieś ważne dla siebie dane do robienia cyklicznych kopii bezpieczeństwa.
AdminExile
Rozszerzenie AdminExile zabezpiecza nasz profil zarządzający całym CMS (panel administratora). Wtyczka zapewnia międzyinnymi:
- ochronę przed atakami słownikowymi i brutalnymi (brute-force).
- możliwość ustalenia adresów IP z których możemy dokonać logowania
- tworzenie czarnej listy (blokowanie IP)
- ustawienie powiadomień bezpieczeństwa (np: podejrzanych prób logowania)
Podsumowując to trochę taki system IDS/IPS…
RSFirewall!
Plugin RSFirewall! przypomina funkcjonalnością AdminExile. Z ciekawszych dodatkowych opcji możemy wymienić możliwość dodania dodatkowej warstwy logowania, dzięki czemu złożoność (ilość kombinacji dodatkowe_hasło+ login+hasło) staje się większa. Posiada również bazę popularnych zagrożeń dotyczących złośliwych skryptów www, które mogą podczepić się pod naszą witrynę internetową. Bardzo fajną opcją (szczególnie przydatną dla starych Joomali :-)) jest wymuszenie blokowania możliwości dodania nowego administratora strony. System RSFirewall! zapewnia ponadto ochronę przed:
- SQL Injection,
- LFI,
- RFI,
- DOS,
- XSS.
Chroni również przestrzeń naszego dysku hostingowego. W przypadku wgrania nowych plików o potencjalnie niebezpiecznych rozszerzeniach takich jak CMD, EXE, BAT, JS, PHP wtyczka wszczyna alarm i automatycznie je usuwa.
Admin Tools
Wtyczka patchująca wiele potencjalnie niebezpiecznych umożliwiających włamanie punktów w systemie Joomla!. Naszym zdaniem podczas używania innych wtyczek ta staje się zbędna i może powodować konflikty. Jak to się mówi, kto co lubi :-).
Securitycheck
Rozszerzenie SecurityCheck również chroni przed atakami SQL Injection, LFI, XSS. Również posiada czarne i białe listy (access list) logowania i dostępu do naszej strony www. Posiada ciekawy menadżer plików umożliwiający sprawdzanie praw dostępów do plików (chmod). Z ciekawszych opcji można wymienić możliwość zdalnego konsolowego zarządzania wtyczką.
Joo ReCaptcha
Masz dość spamu na swojej stronie WWW? Joo ReCaptcha umożliwia dodanie mechanizmu captcha chroniącego przed sieciowymi spam botami. Wtyczka pozwala chronić formularz rejestracji użytkownika, mechanizm przypominania hasła i wiele innych części strony do zdefiniowania w wtyczce. Wtyczka obsługuje wiele wersji językowych Joomli i umożliwia zdefiniowanie własnych komunikatów błędów.
Podsumowanie
Jeśli czytasz ten wpis o Joomli!, być może zainteresuje Cię nasza inna publikacja: jak włamać się na stronę www lub włamanie na fejsa. Teraz już wiesz jak wykonać kopie zapasową Joomli, zabezpieczyć się przed spamem i atakami crackerskimi na nasz serwis WWW. Teraz żaden popularny exploit Ci nie straszny! Jeśli chcesz być na bieżąco zajrzyj na nasz fanpage HakerEduPL na Facebooku ;-).
Akeeba Backup sobie niegdyś używałem u swoich klientów i z tego co wiem to sobie chwalili (osobiście ja tak samo). Będzie coś podobnego o WordPressie? Bo głównie teraz na nim bazuje w firmie…
Dzięki za komentarz! Być może się pojawi, nawet mieliśmy to na myśli… 🙂
Bardzo ciekawy art. Przydalo by sie zrobic taki sam ale z WP i z wieksza iloscia pluginow.
Planujemy to, ale mamy mało czasu.
1. Akeeba Backup – kopia baza i strona. 2. folder administrator na hasło, 3. odpowiednia konfiguracja opcji w użytkownikach i raczej będzie ok 4. kopia zawsze zgrywana na HDD.